Durch den Mittelstand ging ein kleiner Aufschrei, als im Oktober letzten Jahres das Safe Harbour Abkommen zwischen EU und USA für ungültig erklärt wurde. Es regelte den Datenverkehr und die Rechtssicherheit über den Atlantik. Die Unternehmen in Europa und USA waren verunsichert, wie es mit ihrer Zusammenarbeit weitergehen sollte. Nun haben die Mitgliedstaaten der EU mit großer Mehrheit dem von der Europäischen Kommission vorgelegten Entwurf eines EU-US Privacy Shield zugestimmt. Die Regelungen setzen den im Februar erzielten Kompromiss zwischen der Kommission und den USA um. Sie sollen zeitnah die Grundlage für die transatlantische Datenübermittlung bilden. Der „Privacy Shield“ ersetzt die vom EuGH im Oktober 2015 annullierte Safe-Harbor-Entscheidung der Kommission aus dem Jahr 2000.
Gabriel: „Schon bei kleinen und mittleren Unternehmen ist die Kommunikation zunehmend global ausgerichtet.“
Bundeswirtschaftsminister Sigmar Gabriel ist froh über die Einigung: „Das Datenvolumen in der industriellen Fertigung, im Dienstleistungssektor und auch im Privatgebrauch vervielfacht sich in immer kürzeren Zyklen. Schon bei kleinen und mittleren Unternehmen sind die Geschäftsmodelle, die Kommunikation und die Datenverarbeitung zunehmend global ausgerichtet. Daher brauchen unsere Unternehmen dringend Rechtssicherheit für den transatlantischen Datenverkehr. Vor diesem Hintergrund haben wir im Wirtschaftsministerium die Verhandlungen zwischen der Kommission und den USA eng begleitet und uns regelmäßig mit Datenschutzbehörden und betroffenen Unternehmen ausgetauscht.“
Die EU-Kommission plant, ihren Entscheidungsentwurf zum EU-US Privacy Shield noch im Juli 2016 formell im Kollegium anzunehmen. In der sogenannten Angemessenheitsentscheidung stellt die Kommission fest, dass Daten, die Unternehmen auf Basis des Privacy Shields in die USA übermitteln, dort einen Schutz genießen, der dem europäischen Standard gleichwertig ist. Der Privacy Shield enthält dafür verschiedene Sicherungsmechanismen: Datenverarbeitende Unternehmen mit Servern in den USA müssen sich zur Einhaltung wesentlicher datenschutzrechtlicher Grundsätze verpflichten, wie dem Zweckbindungsgrundsatz und der Pflicht zur Löschung von Daten, wenn diese nicht mehr benötigt werden. Im Falle einer Verletzung dieser Grundsätze stehen EU-Bürgern transparente und effektive Rechtsschutzmöglichkeiten zur Verfügung.
Der Mittelstand profitiert von der Entscheidung
Im Spannungsverhältnis zwischen Datenschutz und öffentlicher Sicherheit sichert die US-Regierung ausdrücklich zu, dass kein anlassloser Massenzugriff von US-Sicherheitsbehörden auf Daten von EU-Bürgern erfolgen wird, wenn sie auf US-Servern gespeichert sind. Um den Rechtsschutz von EU-Bürgern gegen unbefugte Datenzugriffe von US-Behörden zu verbessern, wird im US-Außenministerium eine Ombudsperson eingerichtet, die Beschwerden von EU-Bürgern entgegennehmen wird. Die Einhaltung des Privacy Shield wird einer jährlichen Überprüfung durch die Europäische Kommission unterworfen.
Auch der Digitalverband Bitkom begrüßte die Entscheidung. „Der Weg für einen rechtssicheren Datenaustausch mit den USA ist frei“, sagt Susanne Dehmel, Bitkom-Geschäftsleiterin Datenschutz und Sicherheit. „Die deutsche Wirtschaft ist stark exportorientiert und die USA einer der wichtigsten Handelspartner. Internationale Geschäftsbeziehungen funktionieren nur durch den Transfer personenbezogener Daten. Das Privacy Shield wird es Unternehmen ermöglichen, Daten ohne hohen bürokratischen Aufwand in die USA zu übermitteln.“ Davon profitiere vor allem der Mittelstand. Das Privacy Shield stärke zudem alternative Transfermechanismen wie die Standardvertragsklauseln. So ist die Ombudsperson in Fällen von Datenschutzverstößen der Geheimdienste auch für die anderen Transfermechanismen zuständig. Die Abstimmung der nationalen Staaten in der so genannten Artikel-31-Gruppe war die Voraussetzung dafür, dass die EU-Kommission das EU-U.S. Privacy Shield verabschieden kann. Dehmel: „Die Zustimmung der EU-Mitgliedsstaaten bereitet nun den Weg für einen neuen transatlantischen Rechtsrahmen beim Datenschutz.“